Makale

Huawei Mate 30'daki güçlü gizli API'ler Google uygulama kurulumuna izin verir

Mate 30'daki Google uygulamaları

Ne bilmek istiyorsun

  • Güvenlik araştırmacısı John Wu, Yönetici ayrıcalıklarına sahip uygulamaların Mate 30'a yeni sistem uygulamaları yüklemesine izin veren belgelenmemiş API'ler buldu.
  • İzinler, Google çerçevesini ve hizmetlerini yüklemek için "LZPlay" uygulaması tarafından kullanılıyor, ancak Wu, bunların bir güvenlik riski de olduğunu söylüyor.
  • Huawei, Mate 30'un GMS ile birlikte gönderilmediğini ve LZPlay ile "hiçbir ilgisinin" olmadığını söylüyor.

Bu güncellemenin yayınlanmasından kısa bir süre sonra, LZPlay web sitesi kapatıldı ve uygulama artık çalışmıyor. LZPlay'den yüklenmiş Google uygulamalarına sahip Mate 30 cihazları, DRM ve Google Pay desteği gibi şeyler için artık Google'ın CTS'sini (uyumluluk testi paketi) geçemiyor.

Mate 30 Pro, Çinli şirketin ABD hükümetinin Varlık Listesine eklenmesinden bu yana piyasaya sürülen ilk Huawei amiral gemisidir, yani Google uygulamaları ve hizmetleriyle birlikte gönderilemez. Lansmandan kısa bir süre sonra, "Google Service Assistant" uygulaması (web sitesi URL'sinden LZPlay olarak da bilinir)

iyi tanındı Google hizmetlerini Mate 30'a geri yüklemenin basit bir yolu olarak. Yine de tam olarak nasıl çalıştığı, geliştirici ve Android güvenlik uzmanı John Wu iç işleyişine sıkışıp kalana kadar bilinmiyordu.

Verizon, Pixel 4a'yı yeni Sınırsız hatlarda ayda sadece 10 ABD doları karşılığında sunuyor

Bugün yayınlanan bir parçada OrtaWu, uygulamanın yüklemek için belgelenmemiş Huawei MDM (mobil cihaz yönetimi) izinlerini kullandığını söylüyor sistem uygulamaları olarak temel Google bileşenleri ve uygulamaları - cihaz için sonuçları olan alışılmadık bir durum güvenlik. Dahası Wu'nun araştırması, bu güçlü belgelenmemiş izinleri kullanmak için, LZPlay'in anonim geliştiricisinin Huawei'den sertifika alması gerektiğini iddia ediyor. Bir açıklamada Android CentralHuawei, LZPlay ile herhangi bir ilgisi olduğunu reddetti.

Normalde yeni sistem uygulamaları yükleyemezsiniz.

Google Framework, GMS Core ve Google'ın diğer temellerini yükleyememenizin ana nedeni normal bir APK dosyası gibi hizmetler, sistem uygulamaları olmaları ve düzenli olarak kullanılamayan özel izinleri kullanmalarıdır. uygulamalar. Sistem uygulamaları, telefonunuz üzerinde Google Play Store'dan indireceğiniz bir uygulamadan çok daha fazla kontrole sahip olabilir. Ve sistem uygulamaları Yapabilmek yeni sürümlerle güncellenmelidir - örneğin Play Store'dan - orijinaller önce telefonun üreticisi tarafından / sistem bölümüne yüklenmelidir. Uygulamaların güncellenmiş sürümleri, orijinal sürümle aynı güvenlik anahtarıyla imzalanmalıdır.

/ Sistem bölümü normal olarak, telefonda olmadığı sürece kullanıcılar tarafından değiştirilemez. köklü. Bu nedenle, Android kullanıcıları normalde yeni sistem uygulamalarını yükleyemez - bu, güvenlik nedeniyle çok iyi bir şeydir.

Huawei, ABD şirketleriyle yasal olarak iş yapamayacağı için bu uygulamaları fabrikada yükleyemez. Yine de kullanıcılar, sistem uygulamaları oldukları için Google hizmetlerini kendi başlarına da doğrudan yükleyemezler. (Ve Huawei önyükleyicilerini kilitlediğinden, köklenme de söz konusu değil.)

LZPlay'in yaratıcıları için çözüm, Huawei'nin Mobil Cihazının güçlü ancak belgelenmemiş bir alt kümesini kullanmaktır. Yönetim API'leri. MDM API'leri, cihaz üzerinde büyük miktarda kontrol sağlar ve genellikle işletmeler tarafından yönetmek için kullanılır şirkete ait telefonlar.

LZPlay'in kalbinde iki güçlü, belgelenmemiş izin yatıyor

John Wu tarafından keşfedilen iki belgesiz MDM izni şunlardır:

  • com.huawei.permission.sec. MDM_INSTALL_SYS_APP
  • com.huawei.permission.sec. MDM_INSTALL_UNDETACHABLE_APP

Açık olanı belirtme riski altında: İlki, sistem uygulamalarını yükleme iznidir ve ikincisi, daha sonra kaldırılamayan bir uygulamayı yükleme iznidir. Her ikisi de MDM dünyasında bile sıra dışı ve Wu'ya göre şu anda Huawei'nin resmi belgelerinde yer almıyor.

Ama bir dakika bekleyin - yeni sistem uygulamalarını yüklemek imkansız değil mi?

Wu'nun araştırması, LZPlay gibi uygulamaların uygulamaları doğrudan salt okunur olan / sistem bölümüne yüklemediğini, ancak diğer uygulamalarla aynı yazılabilir depolamaya sahip olduğunu gösteriyor. "Sistem uygulamasını yükle" MDM izni sayesinde, Android bunları sistem uygulamaları olarak "işaretler" ve onlara çalışmak için doğru izinleri verir. LZPlay, Google'ın temel bileşenlerini şuradan indirdiğinde olan da budur... onları nereden çekiyorsa.

Böyle bir belgesiz izin çok alışılmadık bir durumdur ve kötüye kullanılması durumunda potansiyel olarak güvenlik açısından kötüdür. Ancak kullanıcılar, Seç bir uygulamaya, etkilenmeden önce Yönetici izinleri vermek. Ve yakında alacağımız başka güvenlik önlemleri de var, Huawei tüm çeşitli MDM izinleri için bir bekçi görevi görüyor. Yine de Wu'nun makalesinde açıkladığı gibi, sistem uygulamalarının orijinal sürümlerini aynı yazılabilir depolama alanında depolamak diğer kullanıcı uygulamaları, başka bir güvenlik açığı varsa, daha kolay kurcalanma olasılığını keşfetti. (Olası değil, ama kesinlikle imkansız değil.)

Wu, daha fazla ipucu için Huawei'nin MDM SDK'sının Çin belgelerini inceledi. MDM API'lerinden herhangi birini kullanmak için geliştiricilerin Huawei ile anlaşmalar imzalamaları, MDM izinlerini kullanmalarını gerekçelendirmeleri ve onay için APK dosyalarını göndermeleri gerektiğini söylüyor. Wu, onaylandıktan sonra Huawei'nin izinlerin çalışması için gerekli olan dijital bir sertifika sağladığını söylüyor.

Huawei Cihaz Yöneticisi erişimi

LZPlay'in arkasında kim varsa, anonim kalmak için çaresiz görünüyor

Ve bu sadece LZPlay'deki durumu daha da garip hale getiriyor. Yeni sistem uygulamalarını yükleyebilen belgelenmemiş MDM izinlerine sahip olmak kesinlikle normal değildir, ancak aynı zamanda, kullanıcıların Google hizmetlerini lisanssız bir telefona yüklemesinin tek yolu budur, olmadan tamamen Android'in yerleşik güvenliğini torpile etme. Yine de, LZPlay'in anonim geliştiricisinin uzun MDM API onay sürecinden geçmesi ve Huawei'nin onayını kazanması fikri daha da tuhaf.

Wu, Huawei'yi LZPlay'in "farkında" olmakla ve varlığının devam etmesine izin vermekle suçluyor:

Bu noktada, Huawei'nin bu "LZPlay" uygulamasından haberdar olduğu ve açıkça var olmasına izin verir. Bu uygulamanın geliştiricisinin bir şekilde bu belgelenmemiş API'lerden haberdar olması, yasal sözleşmeleri imzalaması, incelemelerin birkaç aşamasından geçmesi ve sonunda uygulamanın Huawei tarafından imzalanması gerekir. Uygulamanın tek amacı, Google Hizmetlerini lisanslı olmayan bir cihaza yüklemektir ve bana çok kabataslak geliyor, ancak ben avukat değilim, bu nedenle yasallığı konusunda kesinlikle hiçbir fikrim yok.

Ancak Huawei, uygulama veya siteyle herhangi bir ilgisi olduğunu reddetti. Bir açıklamada Android CentralBir Huawei sözcüsü şunları söyledi:

Huawei'nin en son Mate 30 serisi, GMS ile önceden yüklenmemiş ve Huawei'nin www.lzplay.net ile herhangi bir bağlantısı olmamıştır.

Wu'nun değindiği potansiyel yasal taslak hali, belki de LZPlay'in kökeninin izini sürmenin neden imkansız olduğudur. Uygulama kullanıcı arayüzü yazar (lar) hakkında bilgi sunmaz. Etki alanı için WHOIS bilgileri, Alibaba'nın Çin merkezli bulut hizmetleri bölümüne, aynı şirkete ait barındırdığı sunucuların IP aralığı ile ilgilidir. Dahası, tek sayfalık web sitesinin kendisinde veya o sayfanın HTML, CSS veya Javascript kaynak kodunda bulunabilecek hiçbir ipucu yoktur. İnternette bulabildiğimiz en eski referanslar, Huawei Kulübü Temmuz ayı ortalarında forum, kökenleri hakkında hiçbir bilgi sunmuyor.

Wu, APK dosyasının kendisinin de benzer şekilde opak olduğunu söylüyor:

"LZPay" (sic) uygulaması QiHoo Jiagu (奇 虎 加固) tarafından gizlenmiştir / şifrelenmiştir ve tersine mühendislik yapmak önemsiz değildir.

(Ed. Not: QiHoo Jiagu, mobil uygulama güvenliğinde uzmanlaşmış Çin merkezli bir şirkettir)

Birisi bu uygulamayı oluşturmak için para ödedi, bir şekilde onu sertifikalandırabildi, sonra profesyonel görünümlü web sitesini tasarlamak ve dosyalarını barındırmak için ayrıldı ve yine de kredi istemiyor. Aslında, tamamen isimsiz kalmak için kendi yollarından çıkmış gibi görünüyorlar.

Wu'nun orijinal araştırması Google uygulamalarını bir Huawei telefonuna yüklemek için LZPlay yöntemini kullanmayı düşünüyorsanız, okumaya değer. (Ya da tüm bunların işe yaraması için gerekli olan yazılım mühendisliği çılgın bilimini takdir etmek istiyorsanız.) uygulamanın anonimliği ve kullandığı izinlerin gücü, kesinlikle LZPlay'e kritik bir göz.

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
Kordonu kesmenin zamanı geldi!

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!

En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası
Gelecek nesil

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.

Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü
Yeni Nokias

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü.

Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son üyeleridir. Her ikisi de Android One cihazı olduklarından, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.

Bu SmartThings kapı zilleri ve kilitleriyle evinizi koruyun
Ding Dong - kapılar kilitli

Bu SmartThings kapı zilleri ve kilitleriyle evinizi koruyun.

SmartThings ile ilgili en iyi şeylerden biri, sisteminizde, kapı zilleri ve kilitler dahil bir dizi başka üçüncü taraf cihazı kullanabilmenizdir. Hepsi aynı SmartThings desteğini paylaştığından, hangi cihazların SmartThings cephaneliğinize eklenmesini haklı çıkarmak için en iyi özelliklere ve püf noktalarına sahip olduğuna odaklandık.

instagram story viewer